应用安全检测报告
应用安全检测报告,支持文件搜索、内容检索和AI代码分析
移动应用安全检测报告
AdaModal v1.4.0
50
安全评分
安全基线评分
50/100
低风险
综合风险等级
风险等级评定
- A
- B
- C
- F
应用存在一定安全风险,建议优化
漏洞与安全项分布
4
高危
18
中危
3
信息
3
安全
隐私风险评估
6
第三方跟踪器
高隐私风险
检测到大量第三方跟踪器
检测结果分布
高危安全漏洞
4
中危安全漏洞
18
安全提示信息
3
已通过安全项
3
重点安全关注
0
高危安全漏洞 该文件是World Readable。任何应用程序都可以读取文件
该文件是World Readable。任何应用程序都可以读取文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/appsflyer/internal/AFb1vSDK.java, line(s) 2541
高危安全漏洞 该文件是World Writable。任何应用程序都可以写入文件
该文件是World Writable。任何应用程序都可以写入文件 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#testing-local-storage-for-sensitive-data-mstg-storage-1-and-mstg-storage-2 Files: com/oliveapp/camerasdk/a/a.java, line(s) 443
高危安全漏洞 使用弱加密算法
使用弱加密算法 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/oliveapp/camerasdk/a/f.java, line(s) 28
高危安全漏洞 应用程序包含隐私跟踪程序
此应用程序有多个6隐私跟踪程序。跟踪器可以跟踪设备或用户,是终端用户的隐私问题。
中危安全漏洞 应用数据允许备份
[android:allowBackup=true] 该标志允许通过 adb 工具备份应用数据。启用 USB 调试的用户可直接复制应用数据,存在数据泄露风险。
中危安全漏洞 Broadcast Receiver (com.appsflyer.MultipleInstallBroadcastReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.INSTALL_PACKAGES [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (com.common.fine.receiver.InstallReferrerReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.INSTALL_PACKAGES [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Activity (com.common.fine.activity.FireBaseMsgActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.common.fine.activity.ARouterActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Activity (com.common.fine.IdCardCameraActivity) 未受保护。
[android:exported=true] 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
中危安全漏洞 Broadcast Receiver (com.google.firebase.iid.FirebaseInstanceIdReceiver) 受权限保护,但应检查权限保护级别。
Permission: com.google.android.c2dm.permission.SEND [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 Broadcast Receiver (androidx.profileinstaller.ProfileInstallReceiver) 受权限保护,但应检查权限保护级别。
Permission: android.permission.DUMP [android:exported=true] 检测到 Broadcast Receiver 已导出并受未在本应用定义的权限保护。请在权限定义处核查其保护级别。若为 normal 或 dangerous,恶意应用可申请并与组件交互;若为 signature,仅同证书签名应用可访问。
中危安全漏洞 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等
文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#checking-memory-for-sensitive-data-mstg-storage-10 Files: com/common/fine/constant/SPConstant.java, line(s) 7,16 com/common/fine/receiver/InstallReferrerReceiver.java, line(s) 12 com/common/fine/utils/okhttp/builder/PostFormBuilder.java, line(s) 75 com/oliveapp/camerasdk/data/ShowChoices.java, line(s) 129 com/oliveapp/face/livenessdetectorsdk/datatype/UserInfo.java, line(s) 8
中危安全漏洞 MD5是已知存在哈希冲突的弱哈希
MD5是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: com/oliveapp/face/livenessdetectorsdk/utilities/a/a.java, line(s) 41
中危安全漏洞 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据
应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#external-storage Files: com/common/fine/utils/PathUtils.java, line(s) 49,69,72 com/common/fine/utils/UriTofilePath.java, line(s) 19 com/common/fine/utils/safety/UUIDUtils.java, line(s) 44,45 com/oliveapp/camerasdk/utils/i.java, line(s) 16,24 com/oliveapp/face/livenessdetectorsdk/utilities/utils/FileUtil.java, line(s) 19
中危安全漏洞 应用程序使用不安全的随机数生成器
应用程序使用不安全的随机数生成器 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#weak-random-number-generators Files: com/appsflyer/internal/AFb1hSDK.java, line(s) 18 org/junit/runner/manipulation/Ordering.java, line(s) 7
中危安全漏洞 不安全的Web视图实现。可能存在WebView任意代码执行漏洞
不安全的Web视图实现。可能存在WebView任意代码执行漏洞 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#testing-javascript-execution-in-webviews-mstg-platform-5 Files: com/common/fine/utils/jsbridge/BridgeWebView.java, line(s) 117,102 com/common/fine/utils/twebview/TWebView.java, line(s) 55,41
中危安全漏洞 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息
可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md#static-analysis-6 Files: com/common/fine/utils/jsbridge/BridgeWebView.java, line(s) 95,104,102 com/common/fine/utils/twebview/TWebView.java, line(s) 34,43,41
中危安全漏洞 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库
应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04h-Testing-Code-Quality.md#injection-flaws-mstg-arch-2-and-mstg-platform-2 Files: com/common/fine/database/RegionDbOpenHelper.java, line(s) 5,6,60,77,93
中危安全漏洞 SHA-1是已知存在哈希冲突的弱哈希
SHA-1是已知存在哈希冲突的弱哈希 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04g-Testing-Cryptography.md#identifying-insecure-andor-deprecated-cryptographic-algorithms-mstg-crypto-4 Files: me/zhanghai/android/patternlock/PatternUtils.java, line(s) 66
中危安全漏洞 应用程序创建临时文件。敏感信息永远不应该被写进临时文件
应用程序创建临时文件。敏感信息永远不应该被写进临时文件 Files: org/junit/rules/TemporaryFolder.java, line(s) 79,164
中危安全漏洞 此应用可能包含硬编码机密信息
从应用程序中识别出以下机密确保这些不是机密或私人信息 腾讯位置服务的=> "TencentMapSDK" : "QNABZ-BRQ6F-G24J5-N3RB5-YKN6V-XRFMX" "google_api_key" : "AIzaSyDI5zwtLC4-7snXYjDhy0zWKb9akKk7uas" "AF_SDK_KEY" : "ZBWSDFpPsUUSXtTsNWZTr3" "FACEBOOK_APP_ID" : "1054179072412541" "APP_IDENTIFIER" : "adamodal" "firebase_database_url" : "https://ada-modal.firebaseio.com" "ACCOUNT_KIT_CLIENT_TOKEN" : "152639dd1b25ba10641d43f283c3f90f" "google_app_id" : "1:821665501456:android:386eea23d222f092301595" "google_crash_reporting_api_key" : "AIzaSyDI5zwtLC4-7snXYjDhy0zWKb9akKk7uas" df6b721c8b4d3b6eb44c861d4415007e5a35fc95 FFE391E0EA186D0734ED601E4E70E3224B7309D48E2075BAC46D8C667EAE7212 8a3c4b262d721acd49a4bf97d5213199c86fa2b9 FBA3AF4E7757D9016E953FB3EE4671CA2BD9AF725F9A53D52ED4A38EAAA08901 2438bce1ddb7bd026d5ff89f598b3b5e5bb824b3 E3F9E1E0CF99D0E56A055BA65E241B3399F7CEA524326B0CDD6EC1327ED0FDC1 n2fhYkNUu36DS/4ltCkZlgZ00GXWUIks9WA1U7ACqyDvvj5MAigqS6wtONTI3wyqM cc2751449a350f668590264ed76692694a80308a 9b8f518b086098de3d77736f9458a3d2f6f95a37 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCiLegYm89cDdoDPp8SnaRY2CLe npviV9y1ve+zgSOz8j2aE2ous4NuxgF38OqnqCbWTzbf1B9vvWgsFTvS+givHDRbo 3BAF59A2E5331C30675FAB35FF5FFF0D116142D3D4664F1C3CB804068B40614F c56fb7d591ba6704df047fd98f535372fea00211 a4b7452e2ed8f5f191058ca7bbfd26b0d3214bfc
安全提示信息 应用程序记录日志信息,不得记录敏感信息
应用程序记录日志信息,不得记录敏感信息 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md#logs Files: cn/bingoogolapple/qrcode/core/BGAQRCodeUtil.java, line(s) 42,48 com/appsflyer/internal/AFb1vSDK.java, line(s) 1359,1360,1364,2831,2833 com/appsflyer/internal/AFf1jSDK.java, line(s) 101 com/appsflyer/internal/AFf1kSDK.java, line(s) 60,97 com/appsflyer/internal/AFg1jSDK.java, line(s) 80,88,103,92,98,96 com/common/fine/IdCardCameraActivity.java, line(s) 206 com/common/fine/instance/LoginInstance.java, line(s) 90 com/common/fine/utils/SystemNotificationUtils.java, line(s) 35 com/common/fine/utils/okhttp/utils/LoggerInterceptor.java, line(s) 239 com/common/fine/utils/preference/AESCrypt.java, line(s) 83,89,40,67 com/common/fine/utils/preference/SecurePreferences.java, line(s) 74,420 com/datatheorem/android/trustkit/TrustKit.java, line(s) 39 com/datatheorem/android/trustkit/config/TrustKitConfigurationParser.java, line(s) 221,212 com/datatheorem/android/trustkit/reporting/BackgroundReporter.java, line(s) 43,59 com/datatheorem/android/trustkit/reporting/BackgroundReporterTask.java, line(s) 64 com/datatheorem/android/trustkit/utils/TrustKitLog.java, line(s) 10 com/datatheorem/android/trustkit/utils/VendorIdentifier.java, line(s) 17 com/oliveapp/camerasdk/a/b.java, line(s) 93 com/oliveapp/camerasdk/a/i.java, line(s) 51,61,19,22,56 com/oliveapp/camerasdk/utils/h.java, line(s) 12,47,42 com/oliveapp/face/livenessdetectorsdk/datatype/AccessInfo.java, line(s) 29 com/oliveapp/face/livenessdetectorsdk/utilities/utils/LogUtil.java, line(s) 52,68,76,34,36,44,60,81 com/permissionx/guolindev/request/InvisibleFragment.java, line(s) 959 junit/runner/BaseTestRunner.java, line(s) 151 junit/runner/Version.java, line(s) 12 junit/textui/TestRunner.java, line(s) 88,112,137 org/greenrobot/eventbus/Logger.java, line(s) 32,37
安全提示信息 此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它
此应用程序将数据复制到剪贴板。敏感数据不应复制到剪贴板,因为其他应用程序可以访问它 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04b-Mobile-App-Security-Testing.md#clipboard Files: com/common/fine/utils/twebview/OneWayFuncRegister.java, line(s) 5,304
安全提示信息 应用与Firebase数据库通信
该应用与位于 https://ada-modal.firebaseio.com 的 Firebase 数据库进行通信
已通过安全项 此应用程序可能具有Root检测功能
此应用程序可能具有Root检测功能 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md#testing-root-detection-mstg-resilience-1 Files: com/common/fine/instance/ParamsInstance.java, line(s) 89
已通过安全项 此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击
此应用程序使用SSL Pinning 来检测或防止安全通信通道中的MITM攻击 https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#testing-custom-certificate-stores-and-certificate-pinning-mstg-network-4 Files: com/common/fine/utils/jsbridge/BridgeWebViewClient.java, line(s) 65,62,65,60,61,61 com/datatheorem/android/trustkit/pinning/DebugOverridesTrustManager.java, line(s) 36,37,35,29,32,34,34 com/datatheorem/android/trustkit/pinning/SystemTrustManager.java, line(s) 23,22,19,19
已通过安全项 Firebase远程配置已禁用
Firebase远程配置URL ( https://firebaseremoteconfig.googleapis.com/v1/projects/821665501456/namespaces/firebase:fetch?key=AIzaSyDI5zwtLC4-7snXYjDhy0zWKb9akKk7uas ) 已禁用。响应内容如下所示:
{
"state": "NO_TEMPLATE"
}
综合安全基线评分总结
AdaModal v1.4.0
Android APK
50
综合安全评分
中风险